Kritische Sicherheitslücke in IBM Lotus Notes

2. Mai 2013

Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail- und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie cxsecurity meldet, akzeptiert der E-Mail Client von Lotus Notes JavaScript-Code und
<applet>
-Tags im HTML-Code, wodurch es einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at bezüglich Oracle Java), könnte somit das gesamte System mit bösartiger Software verseucht werden.
IBM hat dazu bereits ein Security Bulletin veröffentlicht.

Betroffene Systeme

  • IBM Lotus Notes 8.0.x
  • IBM Lotus Notes 8.5.x
  • IBM Lotus Notes 9.0

Abhilfe

Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen wir die Ausführung von JavaScript und Java händisch zu unterbinden. Dies kann man durch Setzen der folgenden Optionen in der Konfigurationsdatei
notes.ini
erreichen:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Allgemeiner Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung bei cxsecurity (Englisch)
http://cxsecurity.com/wlb/WLB-2013050001
IBM Security Bulletin (Englisch)
http://www-01.ibm.com/support/docview.wss?uid=swg21633819